Next Topic

Previous Topic

Book Contents

Ereignissätze bearbeiten

Kontrolle > Alarme

  • Wählen Sie auf der Seite Alarme die Option Ereignisprotokolle aus der Dropdown-Liste Alarmfunktion auswählen.
  • Wählen Sie <Neuer Ereignissatzt> aus der Dropdown-Liste Ereignisse für Übereinstimmungen oder Übergehung definieren. Das Popup-Fenster Ereignissatz bearbeiten wird eingeblendet.

Ereignissätze bearbeiten filtert das Auslösen von Alarmen basierend auf der Kontrolle von Ereignissen in Ereignisprotokollen, die durch das Windows-Betriebssystem eines verwalteten Rechners gepflegt werden. Sie können einer Rechner-ID mehrere Ereignissätze zuweisen.

Ereignissätze enthalten eine oder mehrere Bedingungen. Jede Bedingung enthält Filter für verschiedene Felder in einem Ereignisprotokolleintrag. Die Feld sind Quelle, Kategorie, Ereignis-ID, Benutzer und Beschreibung. Ein Ereignisprotokolleintrag muss alle Feldfilter einer Bedingung erfüllen, um als Übereinstimmung zu gelten. Ein Feld mit einem Sternchen (*) bedeutet, dass jede Zeichenfolge, selbst eine leere Zeichenfolge, als Übereinstimmung gilt. Eine Übereinstimmung auch nur einer der Bedingungen in einem Ereignis ist ausreichend, um einen Alarm für einen Rechner auszulösen, auf den dieser Ereignissatz angewendet wurde.

Hinweis: Werden einem Ereignissatz zwei Bedingungen hinzugefügt, so werden diese normalerweise als eine OR-Anweisung interpretiert. Wird für eine eine Übereinstimmung erzielt, wird ein Alarm ausgelöst. Die Ausnahme ist, wenn die Option Warnen, wenn dieses Ereignis nicht innerhalb von <N> <Perioden> eintritt aktiviert wurde. In diesem Falls sollten die zwei Bedingungen als eine AND-Anweisung interpretiert werden. Beide Bedingungen dürfen nicht innerhalb der angegebenen Zeitspanne auftreten, um einen Alarm auszulösen.

Hinweis: Sie können Ereignisprotokolle direkt anzeigen. Klicken Sie auf einem Windows-Rechner auf Start, Systemsteuerung, Verwaltung und dann auf Ereignisanzeige. Klicken Sie auf Anwendung, Sicherheit oder System, um die Ereignisse in diesem Protokoll anzuzeigen. Doppelklicken Sie auf ein Ereignis, um dessen Eigenschaften-Fenster anzuzeigen. Sie können Text im Eigenschaften-Fenster jedes Ereignisses kopieren und in die Ereignissatz bearbeiten-Felder einfügen.

So erstellen Sie einen neuen Ereignissatz:

  1. Wählen Sie auf der Seite Alarme die Option Ereignisprotokolle aus der Dropdown-Liste Alarmfunktion auswählen.
  2. Wählen Sie einen Ereignisprotokolltyp aus der zweiten Dropdown-Liste.
  3. Wählen Sie <Neuer Ereignissatzt> aus der Dropdown-Liste Ereignisse für Übereinstimmungen oder Übergehung definieren. Das Popup-Fenster Ereignissatz bearbeiten wird eingeblendet. Zum Erstellen eines neuen Ereignissatzes haben Sie die folgenden Möglichkeiten:
  • Eingabe eines neuen Namens und Klicken auf die Schaltfläche Neu
  • Einfügen der Ereignissatzdaten als Text
  • Importieren der Ereignissatzdaten aus einer Datei
  1. Wenn Sie einen neuen Namen eingeben und auf Neu klicken, werden im Fenster Ereignissatz bearbeiten die fünf zum Filtern von Ereignissen verwendeten Eigenschaften angezeigt.
  2. Klicken Sie auf Hinzufügen, um dem Ereignissatz ein neues Ereignis hinzuzufügen.
  3. Klicken Sie auf Übergehen, um ein Ereignis anzugeben, das keinen Alarm auslösen sollte.
  4. Sie können Ereignissätze wahlweise umbenennen, löschen oder exportieren.

Übergehen-Bedingungen

Wenn ein Ereignisprotokolleintrag einer oder mehreren Übergehen-Bedingungen in einem Ereignissatz entspricht, wird durch keinen Ereignissatz ein Alarm ausgelöst, selbst wenn mehrere Ereignissätze einem Ereignisprotokolleintrag entsprechen. Da Übergehen-Bedingungen alle Ereignissätze außer Kraft setzen, ist es ratsam, nur einen Ereignissatz für alle Übergehen-Bedingungen zu definieren. Auf diese Weise müssen Sie nur an einer Stelle suchen, wenn Sie den Verdacht haben, dass eine Übergehen-Bedingung das Verhalten aller Ihrer Alarme beeinflusst. Sie müssen den Ereignissatz mit einer Übergehen-Bedingung zunächst einer Rechner-ID zuweisen, bevor diese Bedingung alle anderen Ereignissätze, die der gleichen Rechner-ID zugewiesen wurden, außer Kraft setzen kann.

Übergehen-Bedingungen setzen nur Ereignisse des gleichen Protokolltyps außer Kraft. Wenn Sie also einen "Übergehen-Satz" für alle Übergehen-Bedingungen erstellen, muss dieser mehrmals auf die gleiche Rechner-ID angewendet werden, nämlich für jeden Protokolltyp einmal. Ein Übergehen-Satz, der beispielsweise nur auf Ereignisse des Systemprotokolltyps angewendet wurde, setzt keine Ereignisbedingungen des Anwendungs- und Sicherheitsprotokolltyps außer Kraft.

  1. Wählen Sie auf der Seite Alarme die Option Ereignisprotokolle aus der Dropdown-Liste Alarmfunktion auswählen.
  2. Aktivieren Sie das Kontrollkästchen Fehler und wählen Sie <Alle Ereignisse> aus der Ereignissatzliste aus. Klicken Sie auf Anwenden, um allen ausgewählten Rechner-IDs diese Einstellung zuzuweisen. Damit weisen Sie das System an, für jeden Fehlerereignistyp einen Alarm zu generieren. Notieren Sie den zugewiesenen Protokolltyp.
  3. Erstellen Sie einen "Übergehen-Ereignissatz", der alle Ereignisse festlegen, die Sie übergehen möchten, und weisen Sie diesen den gleichen Rechner-IDs zu. Der Protokolltyp muss dem in Schritt 2 angegebenen Protokolltyp entsprechen.

Sternchen (*) als Stellvertreterzeichen verwenden

Schließend Sie ein Sternchen (*) in den eingegebenen Text ein, um Übereinstimmungen mit mehreren Datensätzen zu finden.Zum Beispiel:

*IhrFilterWort1*IhrFilterWort2*

Dies ergäbe eine Übereinstimmung und würde einen Alarm für ein Ereignis mit der folgenden Zeichenfolge auslösen:

"Dies ist ein Test. IhrFilterWort1 und IhrFilterWort2 sind in der Beschreibung."

Bearbeitungsereignisse exportieren und importieren

Sie können Ereignissatz-Datensätze als XML-Dateien exportieren und aus diesen importieren.

  • Sie können einen vorhandenen Ereignissatz-Datensatz über das Popup-Fenster Ereignissatz bearbeiten in eine XML-Datei exportieren.
  • Sie können eine Ereignissatz-XML-Datei durch Auswahl des Werts <Ereignissatz importieren> oder <Neuer Ereignissatz> aus der Ereignissatz-Dropdown-Liste importieren.

Beispiel:

<?xml version="1.0" encoding="ISO-8859-1" ?>
<event_sets>
 <set_elements setName="Test Monitor Set" eventSetId="82096018">
   <element_data ignore="0" source="*SourceValue*"
category="*CategoryValue*" eventId="12345"
username="*UserValue*" description="*DescriptionValue*"/>
 </set_elements>
</event_sets>